Posts Tagged ‘personvern’

Moderne forbruker, utdatert lov

15. mars 2012

Hvordan står det til med forbrukervernet når vi ikke lenger kjøper varer, men digitale tjenester? Hvilke rettigheter har vi – og viktigere – hvilke trenger vi når vi streamer musikk eller legger igjen informasjon på Facebook?

Det er i dag 50 år siden John F. Kennedy lanserte ett sett med grunnleggende forbrukerrettigheter i en tale til den amerikanske Kongressen. Blant rettighetene var retten til trygge produkter, rett til informasjon, retten til å velge og retten til å bli hørt.

JFKs prinsipper ligger i bunnen av mye av dagens forbrukerlovgivning. Samtidig er det grunn til å spørre om i hvilken grad de ble med over i den digitale forbrukerhverdagen.

Dagens lovgivning gir deg god beskyttelse når du kjøper bil eller kjøleskap, men kommer som oftest til kort i møte med digitale tjenester. I dag er produkter som ikke er håndgripelige, unntatt fra alminnelige forbrukerbeskyttelse.

Det betyr at når du kjøper musikk på iTunes eller laster ned spill til konsollen din, så er det lite eller ingenting å hente i dagens forbrukerlovgivning hvis noe går galt.

Også når vi betaler med personinformasjon eller oppmerksomhet kommer den tradisjonelle forbrukerlovgivningen til kort. I en slik forretningsmodell er det oss brukere som er selve produktet, og markedsføreren kunden.

Vår personinformasjon er det Facebook tjener penger på. Videresalg av opplysinger om hvem vi er og hva vi liker er grunnlaget for hele Facebooks forretningside. Men hvilke rettigheter vi har som brukere og produkt er uklart.

Og for å komplisere bildet ytterligere; når vi kjøper et fysisk produkt, er stadig oftere egenskapene definert ved programvare, slik som en smarttelefon eller en bil. Disse egenskapene kan også endres i etterkant – både til det bedre og det dårligere, og kommer da i form av såkalte oppdateringer.

Så hvor står vi da?

Tradisjonelt tar forbrukerlovgivningen utgangspunkt i at forbrukeren er den svake part i møte med butikken – og begrenser derfor butikkenes avtalefrihet. Den samme begrensningen finnes ikke i den digitale verden, og kommer klart til uttrykk hver gang vi handler et digitalt produkt.

For å kunne benytte en nettjeneste eller installere en programvare, styres vi inn i en kontraktssituasjon hvor vi enten kan godta utilgjengelige, uforståelige og ofte urimelige vilkår eller miste muligheten til å benytte tjenesten. Hvor ofte leser du en hel avtale – eller sier nei takk og klikker deg ut?

Forbrukerrådet har gjennomgått brukervilkår til en rekke tjenester. Det sier seg selv at de færreste av oss orker å lese eller evner å forstå brukervilkår på over 10 000 ord man blir presentert før man kan benytte man spillkonsollen man har kjøpt.

Konsekvensen er at vi mer eller mindre bevisst godtar urimelige avtaler som fratar oss opplagte person- og forbrukerrettigheter. Avtaleapatien stiger og vi huker ukritisk av de vilkårene som blir presentert for oss.

Dersom kunden mener hun ikke har grunn til å stole på butikken, lar hun være å handle. I Brussel har det fra flere hold, og over lengre tid blitt hevdet at “consumer trust and confidence” er helt avgjørende for å løse ut det potensialet i et europeisk, digitalt marked.

Vi kunne ikke være mer enig. Samtidig harmoniserer dette dårlig med at digitale tjenester er unntatt fra det nylig vedtatte forbrukerdirektivet, som etter hvert også blir norsk lov.

Dermed fortsetter en utvikling der det på mange måter har utviklet seg et parallelt avtaleunivers for digitale tjenester, hvor elementære prinsipper blir forsøkt omgått, overkjørt og vridd på.

Vi opplever en vidunderlig ny, digital verden, der mulighetene synes uendelige. Samtidig er vi også i en situasjon der vi er produktet i tjenestene vi benytter. Vi benytter teknologier vi ikke fullt ut forstår og uten den forbrukerbeskyttelsen vi tar for gitt i andre sammenhenger.

Dette samsvarer dårlig med de rettighetene JFK lanserte for 50 år siden. Et ensidig vern av kjøpersiden i den digitale verden er ingen tjent med – heller ikke de som skal tjene penger på nett.

EU gir brukerne bedre kontroll over egne data

25. januar 2012

EU-kommisjonen la i dag frem et forslag til oppdatert personvernlovgivning. Forslaget er et langt steg i riktig retning når det gjelder å gi forbrukerne kontroll over bruk av egne data.

Kommisjonens forslag gjelder både on- og offline, men er spesielt viktig for vår nettbruk, og  går langt i å diktere hvordan firmaer kan og ikke kan benytte personlige informasjon når brukerne handler eller kommuniserer ved hjelp av e-post, sosiale nettverk og lignende.

Blant flere lyspunkter:

  • Større gjennomsiktighet. Forbrukerne må informeres tydelig om hvilken informasjon som benyttes  av hvem, i hvilken hensikt og hvor lenge informasjonen lagres.
  • Varsling når data kan være på avveie (Data Breach Notification). Brukere skal informeres når noe går galt i firmaets håndtering av brukernes personlig informasjon.
  • Det skal bli enklere å flytte personlig data mellom de ulike tjenestene, slik at det enklere å bytte mellom ulike leverandører.
  • Personvern skal være implementert og utgangspunkt i alle relevante tjenester.
  • Datatilsynene i Europa får mer makt til å føre tilsyn med disse lovene, mens privatpersoner kan ta saken til rettsvesenet, enten på egen hånd eller ved hjelp av en  forbrukerorganisasjon.

Og for å sitere den den europeiske forbrukerorganisasjonen BEUC “Today the EU is taking a large step towards giving data rights back to its rightful owners, individuals themselves.”

Det irske datatilsynet slår ned på Facebook

22. desember 2011

Det irske datatilsynet har i løpet av 2011 mottatt en rekke klager på Facebook, deriblant Forbrukerrådets fra tidlig i høst, og har gjennomført en granskning av selskapets håndtering av personopplysninger. Nå har tilsynets rapport kommet ut, og de har virkelig gjort en grundig jobb, som igjen kommer til å medføre mye jobb for Facebook i året som kommer.

Rapporten, som er på 150 sider, gjennomgår 17 forskjellige områder, og lister opp funn og forslag til forbedring på absolutt alle punkter. Her er et lite utdrag av funn og tiltak, oversatt av oss:

  • Forenkle forklaringene som følger Facebooks personverninformasjon
  • Forsterke brukernes muligheter til å ta informerte valg basert på tilgjengelig informasjon
  • Facebooks nåværende linje med å beholde ad-click data på ubestemt tid er uakseptabelt
  • Innsamlede personopplysninger skal slettes når hensikten de ble samlet inn for ikke lenger er tilstede
  • Facebook informerer i dag ikke brukerne godt nok om at deres aktivitet på forskjellige nettlesere på forskjellige maskiner arkiveres
  • Informasjonen som gis brukerne i forbindelse med å tillate tredjepartsapplikasjoners  tilgang til og bruk av informasjon, er i dag for kompleks for at brukerne skal kunne ha  en meningsfull oppfatning av hva som egentlig skjer
  • Brukerne må, gjennom hensiktsmessig informasjon og andre verktøy, gis muligheten til å foreta informerte valg, når de gir tredjepartsapplikasjonene tilgang til brukerens personopplysninger

Og sånn fortsetter listen.

Forbrukerrådet oppfatter at vi gjennom denne rapporten har fått svar på enkelte av de overordnede spørsmålene vi stilte i vår opprinnelige klage. Datatilsynet konkluderte med at norsk lov ikke kom til anvendelse, og slik vil det også være dersom forslaget til nytt Data Protection Directive går gjennom slik det foreligger nå.

Det irske datatilsynet konkluderer ikke med at et samtykke som gis Facebook er for svakt fundert til å hjemle innsamlingen og bruken av personopplysninger, men kommer med konkrete forslag og sterke oppfordringer til Facebook om å bedre tilgangen til informasjon på en rekke områder. Kommisjonens forslag til ny regulering søker også å styrke det informerte samtykket som rettslig grunnlag for behandling av personopplysninger.

Forbrukerrådet har også stilt spørsmål om Facebooks eventuelle ansvar for tredjepartsapplikasjoner, og selv om det irske datatilsynet ikke konkluderer på dette punktet, foreslår de mange tiltak for å bedre brukernes forståelse av tredjepartsapplikasjonenes innhenting og bruk av personopplysninger.

I irske datatilsynet har gitt Facebook frister på en rekke av tiltakene allerede i begynnelsen av 2012, og samtidig venter vi en offisiell oppstart av arbeidet med nytt Data Protection Directive i januar.

Bransjenorm for atferdsbasert reklame avvist av EUs uavhengige personvernråd

16. desember 2011

Tidligere denne måneden skrev vi at The Interactive Advertising Bureau (IAB) sammen med resten av bransjen (EASA) var blitt enige om en selvreguleringsnorm, såkalt ”Best Practice Recommendations”, for å sikre at atferdsbasert markedføring (OBA) finner sted innenfor et rammeverk. Nå er det klart at Article 29 Data Protection Working Party (Art 29 WP), EUs uavhengige rådgivende organ for personvern, har forkastet forslaget fra bransjen.

Først og fremst foreslår bransjenormen å innføre et ikon for atferdsbasert markedsføring i hele EU, som skal lenke til bakgrunnsinformasjon og tilgang til mekanismer for brukerkontroll på forskjellige språk. Ikonet skal vises på annonser basert på brukerens atferd. Ved å klikke på ikonet vil brukeren omdirigeres til et nettsted der de kan finne informasjon om, og få mulighet til å deaktivere, atferdsbasert reklame.

Art 29 WP baserte avvisningen på to elementer som var for dårlig ivaretatt: åpenhet og brukerens valgfrihet.

Når det gjelder åpenhet, mener Art 29 WP at et ikon i seg selv ikke er tilstrekkelig for å informere brukerne om bruk av cookies fordi:

  • Den gjennomsnittlige bruker vil ikke kunne gjenkjenne ikonets underliggende mening uten ekstra informasjon gitt ved siden av.
  • Å bare sette ordet «reklame» ved siden av ikonet er ikke nok til å informere brukeren om at annonsen bruker cookies for å lage atferdsbasert reklame.
  • Ikonet i seg selv og nettstedet http://www.youronlinechoices.eu gir ikke nøyaktig og lett forståelig informasjon om de forskjellige reklamenettverkene og deres formål med å plassere cookies på brukerens datamskin.

Når det gjelder brukernes valgfrihet, mener Art 29 WP at selv om brukere gis muligheten til å velge bort atferdsbasert reklame, er dette ikke forenlig med EUs ePersonverndirektiv, ettersom opplysninger faktisk behandles uten brukerens samtykke og uten å gi brukeren informasjon før de brukes:

  • Selv om den cookien som aktiveres hvis brukeren velger bort atferdsbasert reklame (opt-out cookie) hindrer ytterligere atferdsbasert reklame, stopper dette verken reklamenettverket fra å få tilgang til eller lagre informasjon på brukerens datamaskin.
  • Brukeren blir ikke informert om hvorvidt en cookie som overvåker internett-aktivitet forblir lagret på datamaskinen og hvilket formål denne i tilfelle har.
  • Mens installasjon av en opt-out cookie ikke gir brukeren mulighet til å administrere og slette tidligere installerte sporings-cookies, skapes det samtidig et feilaktig inntrykk av at å velge bort atferdsbasert reklame deaktiverer sporing av internettatferden.

Art 29 WP var også bekymret for at bransjen foreslår at et barn over 12 år skal kunne ta beslutninger i forhold til behandlingen av sine egne personopplysninger, og mener bransjen istedet burde forholde seg til lovgivningen i det enkelte land. De var også kritiske til at normen overhodet ikke sier noe om hvordan bransjen skal sikre god etterlevelse og håndheving av sine egne regler.

I forkant av møtet Art 29 WP hadde med bransjen i september  sendte BEUC, den europeiske forbrukerorganisasjonen, et brev for å ta opp en rekke bekymringer de hadde i forhold til forslaget fra bransjen.

EU styrker personvernet

13. desember 2011

I et utkast til EUs forslag til nytt personverndirektiv, planlagt offentliggjort i januar 2012, og som Forbrukerrådet har fått i hånden, er det klart at EU-kommisjonen vil styrke personvernet og gi brukerne større råderett over egne data og personopplysninger.

For å gi brukerne større makt foreslår EU-kommisjonen blant annet at:

  • innsamling av data fra privatpersoner skal begrenses til et minimum
  • personvern skal være implementert i alle relevante tjenester (privacy by default)
  • personopplysninger skal kun publiseres dersom brukere aktivt velger det
  • personopplysninger, innhold og metadata slettes så snart en bruker ber om det
  • hvis tjenesteleverandører mister kontrollen over personopplysninger, skal brukeren få beskjed innen 24 timer.

I utkastet foreslås det også å opprette egne «personvernombud» i  organisasjoner som samler inn persondata og som  har flere enn 250 ansatte. Det legges også opp til at de nasjonale datatilsynene skal få større makt og frihet.

De foreslåtte tiltakene  gir brukeren en helt annen makt enn de har i dag over sine egne  personopplysninger. Det er også interessant at EU-kommisjonen vil gi brukerne lov å ta med seg lagret data på tvers av tjenester og leverandører. Dette kan bidra til større innovasjon og konkurranse i markedet og dermed bedre tjenester og flere valgmuligheter for forbrukerne.

Også tjenester som er registrert andre steder enn i Europa, men som brukes flittig av norske og andre europeiske forbrukere, må forholde seg til EU-direktivet, men antagelig ikke nasjonale lover.

Direktivet skal visstnok legges frem av Kommisjonen i januar, og man kan vente seg heftige diskusjoner i prosessen frem mot vedtak i EU-parlamentet, fra EU-medlemslandene og helt sikkert fra ulike bransjeaktører. I følge Financial Times, som også har fått titte på forslaget, kan det ta både ett og to år før direktivet er banket og vedtatt i EUs institusjoner.

Veike retningslinjer for adferdsbasert markedsføring

9. desember 2011

Mye av eksistensen til selskaper som Facebook og Google bygger på muligheten til å personifisere reklame ut fra de sporene vi legger igjen på nett, såkalt adferdsbasert markedsføring på nett eller ”online behavioral advertising” (OBA). At dette har opplagte utfordringer for person- og forbrukervernet er lett å se.

For å ta tak i noen av disse utfordringene har nå The Interactive Advertising Bureau blitt enige med resten av bransjen om en form for selvregulering, en såkalt ”Best Practice Recommendations” for å sikre at denne formen for overvåkning skjer innenfor visse grenser.

BEUC, organisasjonen som samler de aller fleste europeiske forbrukerorganisasjonene, har nå sett nærmere på anbefalningene, og er ikke spesielt imponert.

Som ofte blir problemet definert som et informasjonsproblem som kan løses med mer informasjon – i denne sammenhengen med et klikkbart ikon på sider som benytter seg av OBA.

BEUC påpeker i brev til Mr. Jacob Kohnstamm, Chairman of the Article 29 Working Party flere svakhetene ved selvreguleringen:

  • Retningslinjene dekker langt fra alle aktørene, og heller ikke alle sidene ved denne typen markedsføring. At retningslinjene er frivillige hjelper heller ikke.
  • Å benytte et symbol på nettsidene er langt fra tilstrekkelig. Det er en kjensgjerning at få klikker seg videre og faktisk leser informasjonen.
  • Og skulle man faktisk lese informasjonen, er den ubalansert og dekker over alvorlige personvernmessige sider ved denne formen for markedsføring.

Det er derfor ikke vanskelig å være enige med BEUC når de ber om at bekymringen for bransjens selvregulering må tas på alvor.

For vi er ikke i tvil om at vårt personvern på nett fortjener bedre beskyttelse enn uforpliktende og veike retningslinjer.

 

EU skifter personvernskurs?

2. desember 2011

Data Protection Directive (DPD), som også ligger til grunn for den norske personopplysningsloven, er under revisjon i EU. Forbrukerrådet har de siste årene engasjert seg i spørsmål knyttet til personvern, og har tidligere klaget Facebook og Zynga inn for Datatilsynet for mulige brudd på norsk personopplysningslov.

Datatilsynet kom i sommer til at norsk lov ikke kommer til anvendelse i det hele tatt, all den tid Facebook er etablert i Irland. Vi har derfor videresendt klagen vår til det irske datatilsynet, og avventer nå svar derfra.

Vi har også vært i Kommisjonen og presentert Facebooksaken for gruppen som jobber med revisjonen av DPD, og fikk gehør for at det var et problem for brukere å måtte forholde seg til et tilsyn utenfor eget land og språk.

Dette gehøret ser det ut til at har stoppet på veien opp mot de politiske toppene. EUs DG for justis og fundamentale rettigheter, Vivian Reding, tok i begynnelsen av uken til ordet for å beholde prinsippet om etablering, og dermed ikke følge (rettssikkerhets)sporet mot prinsippet om bosted.

Dette er et problem.

Gjennom et harmonisert regelverk oppnår man den uniformertheten bransjen krever, samtidig som den enkelte bruker har tryggheten i å kunne forholde seg til et lov- og tilsynsverk i eget land. Jeg tviler dessuten på at Kommisjonen tar høyde for å dimensjonere det irske datatilsynet for den europeiske tilsynsjobben de nå har, og kommer til å fortsette å ha, dersom Reding får det som hun vil.

 

EU-domstolen sier nei til piratfilter

28. november 2011

EU-domstolen har nylig slått fast at nettleverandører ikke kan tvinges til å installere filtere for å hindre ulovlig fildeling.

Saken har sitt utspring i en dom i det belgiske rettssystemet, hvor en belgisk nettleverandør ble pålagt å hindre ulovlig fildeling i sine nett. Dommen ble anket til EU-domstolen, hvor den nå er avgjort i favør av nettleverandøren.

Det er mange gode grunner for at nettleverandørene skal holde seg unna innholdet i kundenes nettrafikk. Et slikt filter ville bety at nettleverandøren måtte overvåke all nettrafikk, med de konsekvenser det ville få for kundenes personvern og ytringsfrihet.

En slik form for massiv kontroll ville medføre at all trafikk måtte analyseres og knyttes opp mot personlig data, slik som ip-adressen. Det er også store sjanser for at et slikt filter ville blokker helt lovlig innhold.

Forbrukerrådet er helt enig med dommens premisser om at nettleverandørene ikke har noen rolle som generelt nettpoliti. Vi håper dette standpunktet blir videreført av lovgivende myndigheter når ehandelsdirektivet skal revideres om ikke så alt for lenge…

Målet helliger ikke alle midler

30. september 2011

Fristen for å komme med innspill til Kulturdepartemente om ny åndsverklov går ut i dag.  Sentralt i revideringen er tiltak for å komme den ulovlige fildelingen til livs. Og mange vil bli hørt.

I Forbrukerrådets høringssvar har det vært viktig å si fra at vi støtter rettighetshaverne i deres arbeid i kampen mot brudd på opphavsretten, men ikke til en hver pris. Og bare for å ha det sagt; gode, lovlige alternative er uansett avgjørende for å løse problemene med ulovlig bruk.

Våre betingelser er forankret i rettslige prinsipper som proporsjonalitet, nødvendighet og prosesser et demokrati kan være stolte av. Vi mener det er avgjørende at:

  • Datatilsynet må være den som gir konsesjon til innhenting av IP-adresser.
  • Du skal få beskjed dersom noen ønsker å registrere IP-adressen din.
  • Tilgang til  identitet bak IP-adressen bør avgjøres av domstolene.
  • Tilgang til identitet skal kun gis hvis overtredelsen er av et visst omfang.

Slik vi opplever enkelte av innspillene i prosessen så langt, er dette dessverre ikke selvsagt .

Forslaget om enklere prosess, og mindre innsyn og kontroll kommer i samme halvår som musikkbransjen melder om at gode, lovlige alternativer har vært en avgjørende faktor for å snu røde tall til sorte. Timingen er altså ikke den beste, og forslaget skal kultiveres i skrinn jord.

Samtidig kan det se ut til at Datatilsynet søker en mindre sentral rolle i de personvernsrettslige utfordringene som opphavsretten genererer, og det er skuffende. I den forbindelse anbefaler vi kronikken «Datatilsynet takker for seg» av advokatene Djønne og Graasvold. Se også svaret fra Datatilsynet.

Irsk lov for norske Facebook-brukere

22. september 2011

Forbrukerrådet har lenge arbeidet med sosiale medier og personvern, og klaget i 2010 Facebook og terdjepartsleverandøren Zynga inn for Datatilsynet. I tillegg til å stille spørsmål om lovligheten og omfanget av datafangsten og bruk av personlig informasjon, ønsket vi en avklaring på spørsmålene:

  • Gjelder norsk lov for Facebook i Norge?
  • Er det tilstrekkelig lovlig grunnlag for innsamling og bruk av personopplysninger å klikke på en boks?
  • Hvor langt strekker Facebook sitt ansvar seg for tredjepartsapplikasjoner som opererer på Facebook?

Datatilsynet svarte oss i april og konkluderte med at nordmenns personvernrettigheter på Facebook reguleres av irsk lov, all den tid selskapet er registret i Irland. Samtidig bad Datatilsynet, sammen med de øvrige nordiske tilsynene, Facebook redegjøre for hvordan de behandler brukernes personopplysninger.

Vi opplever det som lett absurd at vi må henvende oss til det irske datatilsynet for å få en avklaring om hva Facebook kan og ikke kan foreta seg i Norge. Facebook er på norsk og utvilsomt rettet mot norske forbrukere. Facebook har også en økonomisk binding de nasjonale brukerne ved at personinformasjonen vår brukes til individualisert markedsføring.

Det irske datatilsynet svarte oss i august i år, og pekte kun på et initiativet fra Datatilsynet og ders søsterorganisasjoner i Norden. Vi har svart tilbake, og forklart forskjellen på et tilsyn og en interesseorganisasjon, ansvarsområdet og verktøy, samtidig pekt på sentrale forskjeller i våre henvendelser. Dette brevet har vi ennå ikke fått noe svar på.

I neste uke tar vi derfor turen til Brussel, og vil diskutere våre ovennevnte erfaringer med de som har ansvaret for revisjonen av direktivet som personopplysningsloven bygger på.

Forbrukerrådet ønsker nasjonal behandling av tjenester som er rettet mot norske brukere samtidig som Facebook må gjøres (med)ansvarlig for hva andre tjenesteytere på Facebook gjør.

Vi er like fornøyde brukere av Facebook som mange andre, men synes ikke at det skal være nødvendig å skrive brev til Irland om det er noe vi lurer på, eller tror er i strid med lov eller forskrift.

Er det så mye å be om?